CC BY
165
строения: оценки, прогнозы, предложения // ЛесПромИн-форм. 2014. № 4 (102). С. 126-130.
8. Олеарий А. Описание путешествия в Московию и через Московию в Персию и обратно. СПб.: Изд-во А.С. Суворина, 1906. 127 с.
9. Яськова Н.Ю. Новое поколение образовательных про-
грамм // Технологии интеллектуального строительства. 2014. Вып. 4. С. 13-17.
10. Panibratov, J. Steady Development of Construction Organization of Housing Profile / Jurij Panibratov and Arkadij Larionov // World Applied Sciences Journal 23 (Problems of Architecture and Construction): 144-148, 2013.
УДК 621.01(07)
АНАЛИЗ СОВРЕМЕННЫХ ТРЕНДОВ ПО СЕРТИФИКАЦИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПО ТРЕБОВАНИЯМ ISO 27001
© И.И. Лившиц1, П.А. Лонцих2
ООО «Газинформсервис»,
198096, Россия, г. Санкт-Петербург, пр. Стачек, 47.
2Иркутский национальный исследовательский технический университет,
664074, Россия, г. Иркутск, ул. Лермонтова, 83.
Рассмотрены итоги современного развития систем менеджмента информационной безопасности (СМИБ) как ответ на угрозы и статистика сертификации СМИБ на соответствие требованиям международного стандарта ISO/IEC 27001. Основное внимание обращено на динамику сертификации СМИБ в Российской Федерации и в мире в целом. Данные ежегодного отчета ISO за 2013 г. подтверждают стабильно положительную динамику сертификации СМИБ по ISO/IEC 27001 и его более высокий рост по сравнению с другими известными стандартами ISO. Показано, что роль стандарта ISO 9001 снижается, так как достижение поставленных целей в области стабильного развития, обеспечения безопасности и формирование достаточных условий и мер (средств) информационной безопасности (ИБ) для противодействия угрозам в условиях жесткой конкуренции не достигается только в условиях «широкого» стандарта систем менеджмента качества (СМК). Очевидно, что необходимо применять специальный «целевой» стандарт для создания СМИБ - ISO 27001, как отдельно, так и в составе интегрированных систем менеджмента (ИСМ).
Ключевые слова: информационная безопасность (ИБ); система менеджмента качества (СМК); система менеджмента информационной безопасности (СМИБ); интегрированная система менеджмента (ИСМ); аудит; менеджмент рисков; угрозы; бизнес-процессы.
ANALYSIS OF MODERN TRENDS IN INFORMATION SECURITY MANAGEMENT SYSTEM CERTIFICATION ACCORDING TO ISO 27001 REQUIREMENTS I.I. Livshits, P.A. Lontsikh
"Gazinformservice" LLC,
47 Stachek pr., Saint-Petersburg, 198096, Russia. National Research Irkutsk State Technical University, 83 Lermontov St., Irkutsk, 664074, Russia.
The paper discusses the results of modern development of information security management systems (ISMS) as a respond to threats, and ISMS certification statistics for the compliance with the international standard ISO/IEC 27001 requirements. The main attention is paid to the dynamics of ISMS certification in the Russian Federation and in the world. The data of ISO annual report for 2013 confirm the stable positive dynamics of ISMS certification according to ISO/IEC 27001 and its higher growth as compared to other known ISO standards. The paper shows the decreasing role of ISO 9001 standard, since set goals in the field of sustainable development, security provision and formation of sufficient conditions and measures (means) of information security to counteract threats under severe competition can not be achieved only within a "wide" standard of quality management systems. The article proves the need for the application of a special "target" standard to create ISMS - ISO 27001 both separately and as a part of integrated management systems (IMS).
Keywords: information security (IS); quality management system (QMS); information security management system (ISMS); integrated management system (IMS); audit; risk management; threats; business processes.
Проблема создания эффективных систем менеджмента информационной безопасности (СМИБ) с целью обеспечения стабильного развития современ-
ной организации и успешного противодействия угрозам в условиях жесткой конкуренции достаточно хорошо известна. По этому направлению написано не-
1Лившиц Илья Иосифович, кандидат технических наук, доцент, тел.: 89219344846, e-mail: livshitz_il@hotbox.ru
Livshits Ilia, Candidate of technical sciences, Associate Professor, tel.: 89219344846, e-mail: livshitz_il@hotbox.ru
2Лонцих Павел Абрамович, доктор технических наук, профессор, зав. кафедрой управления качеством и механики,
тел.: (3952) 405179, e-mail: palon@list.ru
Lontsikh Pavel, Doctor of technical sciences, Professor, Head of the Department of Quality Management and Mechanics, tel.: (3952) 405179, e-mail: palon@list.ru
мало научных статей и практических нормативных документов, в частности [1-3, 5]. Однако современные угрозы на уровне экономики как государства, так и конкретных организаций требуют реагирования на системном уровне. К числу наиболее значимых угроз такого рода и их последствий следует отнести:
- стабильное увеличение количества и размеров утечек чувствительной информации (коммерческой, технической, финансовой, персональных данных);
- рост степени последствий блокирования работы критичных объектов (информационных систем, про-цессинговых центров, систем передачи данных);
- увеличение значения последствий разрушения критичной производственной инфраструктуры на технологическом уровне (SCADA, MES).
Уместно вспомнить об угрозе блокирования международных платежных систем, которые используются в РФ, в частности, прерывание обслуживания российских банков платежными системами Visa и Master Card в марте 2014 г. Этот пример - хороший урок не только для всей банковской сферы, где управление рисками (в том числе операционными) является повседневной обязанностью и обусловлено рядом международных документов (COSO, Basel III), но более - для Центрального банка РФ как национального финансового регулятора.
Таким образом, высшему менеджменту нужен, по принципу здесь и сейчас, эффективный инструмент противодействия современным угрозам, способный в той или иной степени решить обозначенную выше проблему. Для принятия решения на более высоком уровне, например, на уровне государственного управления, противодействие соответствующим угрозам приводит к необходимости принимать политические решения, в частности, вводить программы импортоза-мещения, которые затрагивают уже не отдельные предприятия, а национальную экономику в целом. Представляется очевидным, что принятие в РФ нового национального стандарта ГОСТ РВ 0015-002-2012 «Система разработки и постановки продукции на производство. Военная техника. Системы менеджмента качества. Общие требования», устанавливающего прямую ссылку на стандарт ГОСТ Р ИСОМЭК 270012006, является свидетельством принятия во внимание указанных выше угроз.
_Общие итоги динамики с
Хорошую информационную базу представляет ежегодный отчет ISO, в котором дается детальная информация по динамике применения (сертификации) наиболее известных стандартов в мире по экономикам отдельных стран и по определенным отраслям промышленности [6]. Отметим, что отчет ISO содержит объемную статистику, которая значительно расширяет возможности планирования процесса управления ИБ с учетом практики предшествующих лет, экономик более сильных стран и уже известных инцидентов ИБ. Соответственно, высший менеджмент может получить объективную и непредвзятую статистику, обобщенную на уровне ISO, с тем, чтобы определить наиболее экономически эффективное решение по созданию (сертификации) СМИБ как отдельно, так и в составе ИСМ.
Статистика сертификации ISO в мире
Рассмотрим общие итоги динамики сертификации по основным стандартам ISO в мире за 2013 г. на основании отчета ISO (табл. 1).
Очевидно, что широко известный «базовый» стандарт ISO серии 9001 в 2013 г. по-прежнему остается явным лидером по общему количеству сертификатов, но с минимальной динамикой (3%) по сравнению с предыдущим годом (см. табл. 1). В то же время «целевые» стандарты, такие как ISO 27001 (СМИБ), ISO 13485 (СМК для производителей медицинской техники) демонстрируют двузначный стабильный рост. Этот факт можно объяснить следующими обстоятельствами: «базовый» стандарт ISO 9001 версии 2008 г., конечно, учитывает в определенной мере отдельные элементы (оценку поставщиков, оценку договоров, мониторинг процессов), но этого явно недостаточно для обеспечения специфических задач безопасности и прежде всего - управления рисками ИБ, формирования приоритетов и планов обработки рисков и пр. При этом высший менеджмент решает проблему, сформулированную выше, либо путем внедрения отдельного «целевого» стандарта ISO 27001 - для оценки СМИБ, либо путем внедрения СМИБ и сертификации в составе ИСМ.
Рассмотрим данные по сертификации по основным стандартам ISO серий 9001, 13485, 14001 и 27001 в мире и в Европе (табл. 2).
Таблица 1
за 2013 г. [в]*_
Стандарт Количество сертификатов Динамика
2013 г. 2012 г. разница в процентах
ISO 9001 1 129 446 1 096 987 32 459 3
ISO 14001 301 647 284 654 16 993 6
ISO 50001 4 826 2 236 2 590 116
ISO 27001 22 293 19 620 2 673 14
ISO 22000 26 847 23 278 3 569 15
ISO/TS 16949 53723 50 071 3 652 7
ISO 13485 25 666 22 317 3 349 15
Итого 1 564 448 1 499 163 65 285 4
*Адаптировано автором для печати в русскоязычном издании.
Таблица 2
Данные по сертификации в мире и Европе по основным стандартам_
Показатель 2010 г. 2011 г. 2012 г. 2013 г.
Стандарт ISO 9001
Кол-во сертификатов в мире 1 118 510 1 079 228 1 096 987 1 129 446
Динамика, % - 96,49 98,08 100,98
Кол-во сертификатов в Европе 530 039 459 367 469 739 485 554
Динамика, % - 86,67 88,62 91,61
Стандарт ISO 13485
Кол-во сертификатов в мире 18 834 19 849 22 317 25 666
Динамика, % - 105,39 118,49 136,27
Кол-во сертификатов в Европе 11 034 10 515 12 232 13 214
Динамика, % - 95,30 110,86 119,76
Стандарт ISO 14001
Кол-во сертификатов в мире 251 548 261 926 284 654 301 647
Динамика, % - 104,13 113,16 119,92
Кол-во сертификатов в Европе 103 126 101 177 111 910 119 107
Динамика, % - 98,11 108,52 115,50
Стандарт ISO 27001
Кол-во сертификатов в мире 15 626 17 355 19 620 22 293
Динамика, % - 111,06 125,56 142,67
Кол-во сертификатов в Европе 4 800 5 289 6 379 7 950
Динамика, % - 110,19 132,90 165,63
Как видно из данных, представленных в табл. 2, лидером по динамике роста сертификации как в мире, так и в Европе является стандарт ISO 27001. Статистика сертификации ISO в России
Для получения более детальной картины рассмотрим динамику сертификации в Российской Федерации по наиболее известным стандартам ISO серий 9001, 14001 и 27001 (рис. 1-3 соответственно [6]).
1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
Рис. 1. Динамика сертификации по ISO 9001 в РФ
2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
Рис. 2. Динамика сертификации по ISO 14001 в РФ
Рис. 3. Динамика сертификации по ISO 27001 в РФ
По диаграммам, представленным на рис. 1-3, отчетливо видно, что для всех рассматриваемых стандартов пик сертификации зафиксирован в 2010 г. В последующем временном интервале оценки - 20112013 гг., наблюдается различная динамика:
- по статистике ISO 9001 - резкий спад (около 80%) и тенденция к стабильному снижению в пределах 20% от пикового значения;
- по статистике ISO 14001 - спад около 45% и тенденция к стабильному слабому росту в пределах 50% от пикового значения;
- по статистике ISO 27001 - спад около 57% и тенденция к стабильному росту в пределах 70% от пикового значения.
Очевидно, что изменения в количестве сертификатов отражают «ценность» и «полезность» конкретного рассматриваемого стандарта ISO. Для приближения к ранее достигнутому пику (2010 г.) всех стандартов ISO предпочтительно рассматривать и сопоставлять данные по динамике одних и тех же стандартов в мире, в Европе и в РФ по равным временным интервалам оценки.
Количественный анализ трендов сертификации по стандартам ISO
На основе предложенных рекомендаций проведем количественный анализ представленных выше данных с целью поиска закономерностей и сопоставления трендов в мировой экономике и в РФ. Гипотеза авто-
ра, представленная в публикациях [1-4], подтверждается устойчивыми корреляционными связями между лидирующими отраслями промышленности и динамикой роста применяемых стандартов ISO. Агрегированные данные по динамике сертификации ISO в мире и в Европе за период с 2011 по 2013 гг. представлены в табл. 3 (сравнение производится от «базы» 2010 г.).
Графики, отражающие динамику сертификации по стандартам ISO в 2011-2013 гг. в мире и в Европе, представлены на рис. 4 и 5 соответственно.
Анализ современных тенденций сертификации ISO в РФ
Для анализа современных тенденций сертификации в РФ важно проанализировать особенности интервальных отношений данных и динамики сертификации по известным стандартам ISO и общего отношения данных за 2013 г., а также пикового значения 2010 г. (для всех рассматриваемых стандартов). Полученные данные представлены в табл. 4.
Для отражения и подтверждения фактов, лежащих в основе гипотезы о стабильной динамике внимания к специальным «целевым» стандартам ISO, для целей данной публикации - подтверждение факта роста признания стандарта ISO серии 27001 для независимой оценки СМИБ в РФ, полученные аналитические выкладки также можно представить в графическом виде (рис. 5).
Таблица3
Динамика сертификации ISO в мире и в Европе, %
Стандарт 2010 г. 2011 г. 2012 г. 2013 г.
В мире
ISO 9001 100 96,49 98,08 100,98
ISO 13485 100 105,39 118,49 136,27
ISO 14001 100 104,13 113,16 119,92
ISO 27001 100 111,06 125,56 142,67
В Европе
ISO 9001 100 86,67 88,62 91,61
ISO 13485 100 95,30 110,86 119,76
ISO 14001 100 98,11 108,52 115,50
ISO 27001 100 110,19 132,90 165,63
а б
Рис. 4. Динамика сертификации по стандартам ISO: а - в мире; б - в Европе
Таблица 4
Статистика и динамика сертификации по стандартам ISO в РФ_
Показатель 2010 г. 2011 г. 2012 г. 2013 г.
Стандарт ISO 9001
Кол-во сертификатов 62 265 13 308 12 488 11 764
Динамика, % - 21,37 20,06 18,89
Стандарт ISO 14001
Кол-во сертификатов 1 953 1 093 1 090 1 272
Динамика, % - 55,97 55,81 65,13
Сертификат ISO 13485
Кол-во сертификатов 114 74 90 98
Динамика, % - 64,91 78,95 85,96
Сертификат ISO 27001
Кол-во сертификатов 72 31 27 48
Динамика, % - 43,06 37,50 66,67
Рис. 5. Динамика сертификации по стандартам ISO в 2011-2013 гг. в РФ
Как показало краткое исследование статистики сертификации по стандартам ISO за 2013 год, современная экономика (в мире, в Европе, в РФ) подтверждает целесообразность принятия курса на реализацию стратегии внедрения современных стандартов, призванных обеспечить требуемый уровень ИБ. Весьма показателен факт двузначного роста сертификации
за прошедший год по стандарту ISO серии 27001 как в мире (14%), так и в России (77%). Таким образом, объективно подтверждается стабильно высокая заинтересованность бизнеса в подтверждении уровня соответствия лучшим мировым практикам ИБ посредством независимой сертификации.
Положительная динамика сертификации по «це-
левым» стандартам представляется весьма вероятной, поскольку они базируются на общем для всех стандартов ISO цикле PDCA, используют такие же документированные процедуры (внутренние аудиты, корректирующие действия и пр.), обладают высоким потенциалом к интеграции, особенно с учетом выпуска ISO 9001 версии 2015 г. - унификации и интеграции в соответствии с Annex SL. В этой стратегии нацио-
нального обеспечения ИБ применение стандартов ISO серии 27001 объективно отражает подходы к минимизации негативных проявлений рисков, которые могут повлиять на достижение целей высшего руководства, в равной мере обеспечивая эффективный механизм парирования как внешних, так и внутренних угроз.
Статья поступила 17.12.2014 г.
Библиографический список
1. Лившиц И.И. Оценка систем менеджмента информационной безопасности // Менеджмент качества. 2013. № 1. С. 22-34.
2. Лившиц И.И. Оценки соотношения количественных показателей сертификации систем менеджмента предприятий // Менеджмент качества. 2014. № 2. С. 120-127.
3. Лившиц И.И., Молдовян А.А., Танатарова А.Т. Исследование зависимостей сертификации по международным стандартам ISO от типов организации для ведущих отраслей промышленности // Труды СПИИРАН. 2014. № 3 (34). С. 160-177.
4. Лившиц И.И., Танатарова А.Т. Ценность внутренних аудитов интегрированной системы менеджмента для проведения результативного анализа со стороны руководства // Стандарты и качество. 2014. № 8. С. 86-88.
5. Лившиц И.И., Танатарова А.Е., Лонцих П.А. Методические подходы при внедрении систем энергоменеджмента и реализации комплексной безопасности промышленных объектов // Вестник ИрГТУ. 2014. № 11 (94). С. 288-293.
6. The ISO Survey of Management System Standard Certifications - 2013 [Электронный ресурс]. URL: http://www.iso.org/iso/home.html (05 нояб. 2014).
УДК 34
ПРАВОВЫЕ ТЕРМИНЫ И ДЕФИНИЦИИ КАК ЭЛЕМЕНТЫ ФОРМИРОВАНИЯ ПРАВОСОЗНАНИЯ СТУДЕНТОВ НЕЮРИДИЧЕСКИХ СПЕЦИАЛЬНОСТЕЙ
© Э.Ф. Мамедов1
Иркутский национальный исследовательский технический университет, 664074, Россия, г. Иркутск, ул. Лермонтова 83.
Статья посвящена исследованию роли правовых терминов и дефиниций в повышении правового сознания студентов неюридических специальностей. Особая роль отведена анализу значения законодательной терминологии, содержащейся в нормативных правовых актах, регулирующих профессиональную деятельность будущих специалистов. Отмечено, что повышению правосознания и правовой грамотности студентов неюридических специальностей способствует компетентностный подход в процессе преподавания правовых дисциплин, а также разработка специальных учебных курсов, направленных на получение углубленных правовых знаний обучающимися в области будущей профессиональной деятельности.
Ключевые слова: термины; дефиниции; правосознание; правоведение; студенты неюридических специальностей.
LEGAL TERMS AND DEFINITIONS AS ELEMENTS OF LEGAL CONSCIOUSNESS DEVELOPMENT IN STUDENTS OF NONLEGAL SPECIALTIES E.F. Mamedov
National Research Irkutsk State Technical University, 83 Lermontov St., Irkutsk, 664074, Russia.
The article studies the role of legal terms and definitions in enhancing the legal consciousness of students of nonlegal specialties. A special role is given to the analysis of the meaning of the legal terminology contained in the legislative acts regulating professional activities of future specialists. Competence-based approach in teaching legal disciplines as well as development of special training courses aimed at transferring students profound legal knowledge in the field of their future professional activity are shown to contribute to the improvement in legal consciousness and knowledge of law by the students of nonlegal specialties.
Keywords: terms; definitions; legal consciousness; science of law; students of nonlegal specialties.
Важнейшим условием построения правового государства в России является формирование правового сознания граждан, от уровня которого зависит знание и правильное понимание каждым гражданином своих прав и свобод, обязанностей, умение их соблюдать и
использовать.
Правосознание «представляет собой сферу или область сознания, отражающую правовую действительность в форме юридических знаний и оценочных отношений к праву и практике его реализации, соци-
1Мамедов Эльшан Фахраддинович, аспирант, тел.: 89500805932, e-mail: vetenim@rambler.ru Mamedov Elshan, Postgraduate, tel.: 89500805932, e-mail: vetenim@rambler.ru
